Velika Phishing Kampanja Otkrivena u Android Aplikacijama
Uvod
Nedavna istraživanja Cyble Research and Intelligence Labs (CRIL) otkrila su proširenu phishing kampanju koja uključuje više od 20 Android aplikacija dostupnih na Google Play Storeu. Ove aplikacije, koje su izgledale kao legitimni alati za kripto novčanike, imale su jedan jedini cilj: ukrasti korisničke mnemonike, točne 12-riječne ključeve koji pružaju potpun pristup kripto novčanicima. Kada su korisnički podaci kompromitirani, korisnici riskiraju gubitak cijelog svog kripto portfelja bez mogućnosti oporavka.
Kako Su Pristupili Napadu?
Mnoge zlonamjerne aplikacije su izrađene pomoću Median okvira, koji olakšava brzu konverziju web stranica u Android aplikacije. Ovim metodama, napadači su umetnuli phishing URL-ove direktno u kod aplikacije ili u dokumente o pravilima privatnosti. Ti linkovi bi zatim učitali lažne login stranice putem WebView-a, zavaravajući korisnike da unose svoje mnemonike vjerujući da komuniciraju s pouzdanim servisima za novčanike kao što su PancakeSwap, SushiSwap, Raydium, i Hyperliquid.
Primjeri Zlonamjernih Aplikacija
Jedna od prevarantskih aplikacija PancakeSwap koristila je URL hxxps://pancakefentfloyd[.]cz/api.php, koji je vodio do phishing stranice koja je oponašala legitimni PancakeSwap sučelje. Isto tako, lažna Raydium aplikacija preusmjeravala je korisnike na hxxps://piwalletblog[.]blog kako bi izvela slične prevare. Unatoč različitim oznakama i brandingom, ove aplikacije dijele zajednički cilj: izvlačenje privatnih pristupnih ključeva korisnika.
Analiza CRIL-a i Phishing Infrastruktura
CRIL-ova analiza otkrila je da je infrastruktura koja podržava ove aplikacije bila opsežna. IP adresa 94.156.177[.]209, korištena za hostanje ovih zlonamjernih stranica, povezana je s više od 50 drugih phishing domena. Ove domene imitiraju popularne kripto platforme i koriste se u više aplikacija, što ukazuje na središnju i dobro opremljenu operaciju. Neke zlonamjerne aplikacije čak su objavljene pod developer računima koji su prethodno bili povezani s legitimnim softverom, kao što su aplikacije za igre ili streaming, čime se dodatno smanjuje sumnja kod korisnika.
Strategije za Zaštitu od Phishinga
CRIL savjetuje korisnicima da preuzimaju aplikacije samo od provjerenih developera i da izbjegavaju sve aplikacije koje traže osjetljive informacije. Korištenje uglednog Android antivirusnog ili endpoint zaštitnog softvera, zajedno s osiguravanjem da je Google Play Protect omogućen, predstavlja važan, iako ne nepogrešiv, sloj zaštite. Osnovne prakse poput korištenja jakih i jedinstvenih lozinki te višefaktorske autentifikacije trebale bi biti standard. Kada je to moguće, aktivirajte biometrijske sigurnosne značajke.
Zaključak
Korisnici također trebaju izbjegavati kliknuti na sumnjive linkove primljene putem SMS-a ili e-pošte, te nikada ne unosi osjetljive informacije u mobilne aplikacije osim ako nisu sigurni u njihovu legitimnost. Na kraju, nijedna legitimna aplikacija nikada ne bi trebala tražiti potpunu mnemoniku putem login prozora. Ako se to dogodi, vjerojatno je već prekasno. Ostanite oprezni i zaštitite svoje kripto imovine od ovakvih zlonamjernih napada.
